13. September 2022 Der unsichtbare Dritte: Man-in-the-Middle-Attacken im WLAN

Cyberkriminelle finden immer hinterhältigere Wege, um an sensible Daten zu gelangen. Worauf Sie bei der Nutzung öffentlicher WLAN-Hotspots besonders achten sollten, erfahren Sie im Beitrag.

Unterwegs oder in öffentlichen Einrichtungen sind WLAN-Hotspots ein beliebtes Mittel, um das kostbare persönliche Mobildatenvolumen zu schonen. Öffentliche Internet-Zugänge bergen jedoch zahlreiche Risiken – eines davon stellt die sogenannte Man-in-the-Middle-Attacke dar. Dabei handelt es sich um einen perfiden Cyberangriff, der von betroffenen Userinnen und Usern üblicherweise unbemerkt bleibt. Einige Verhaltensregeln sowie technische Maßnahmen können aber dazu beitragen, das Risiko eines solchen Angriffs im öffentlichen WLAN deutlich zu reduzieren.

WLAN-Verschlüsselungen und Https-Protokoll

WLAN-Hotspots übertragen Daten zunächst von einem Mobilgerät zu einem „Accesspoint“ beziehungsweise einem Router, also einer Sendestation, die an das Internet angeschlossen ist. Diese Übertragung kann entweder verschlüsselt oder unverschlüsselt erfolgen. Welcher Modus gewählt wird, gibt der Accesspoint vor. Erkennbar ist der Unterschied, wenn man nach verfügbaren WLAN-Verbindungen sucht: Bei verschlüsselten Netzen wird ein Schloss-Symbol angezeigt. Fehlt ein solches oder erscheint gar ein Warnsymbol auf dem Display, heißt es vorsichtig sein! In diesem Fall werden die Daten unverschlüsselt übertragen und jede Person, die dasselbe Funksignal empfangen kann, ist in der Lage, alle Daten mitzulesen. Dafür wird nicht mehr benötigt als ein Laptop, spezielle Software und etwas Fachwissen.

Beim Surfen im Internet können Userinnen und User auf das Https-Protokoll in der Adressleiste des Browsers achten: Die Verbindung zu jeder Website, die über dieses Sicherheitsprotokoll aufgerufen wird, ist verschlüsselt. Das zusätzliche „s“ in „https“ steht für „secure“. Erkennbar ist diese Art der Verbindung auch an einem Schloss-Symbol in der Adressleiste. Damit können sich Userinnen und User davor schützen, dass Unberechtigte den Datenverkehr einsehen können.

Gefahren durch Man-in-the-Middle-Attacken

Cyberkriminelle wollen fremde Daten nicht nur sehen, sie wollen diese auch manipulieren und zum Beispiel eine Online-Geldüberweisung auf ihr eigenes Konto umleiten. Auch dies gestaltet sich einfach, wenn Unbefugte einmal Zugriff auf den Accesspoint beziehungsweise dessen Internet-Anschluss haben. Auch wenn die Funkverbindung zum Accesspoint verschlüsselt ist, können Cyberkriminelle diese wieder entschlüsseln und alle Daten mitlesen. Sobald Dritte Zugriff auf den Datenverkehr zwischen zwei Übertragungsmedien haben, können Passwörter und andere sensible Daten abgegriffen werden.

Wie funktionieren Man-in-the-Middle-Angriffe?

Bei Man-in-the-Middle-Attacken gelingt es einer Angreiferin oder einem Angreifer, sich in eine bestehende TCP-Verbindung (Transmission Control Protocol; Transportprotokoll für Datenpakete) zwischen zwei Kommunikationspartnern zu drängen. Dabei übernehmen die Cyberkriminellen aus der Sicht des Clients die Rolle des Servers und aus der Sicht des Servers die Rolle des Clients. Dies erfolgt durch Manipulation der Sequenznummern und Absenderadressen aller versandten Datenpakete, sodass weder Client noch Server bemerken, dass die Kommunikation über einen Dritten läuft. Session Hijacking ist zwar ein technisch hochkomplexer Vorgang – entsprechende Software-Tools ermöglichen es jedoch auch Laiinnen und Laien, einen solchen Angriff durchzuführen.

Der manipulierte Accesspoint und kompromittierter Datenverkehr

Für eine Man-in-the-Middle-Attacke nutzen Kriminelle einen manipulierten Accesspoint mit einem vertrauenswürdigen Namen. Ob man dem Betreiber eines Accesspoints tatsächlich vertrauen kann, ist aus Sicht der Userin oder des Users aber nicht feststellbar. Auch der Umstand, dass ein WLAN passwortgeschützt ist, bedeutet nicht, dass es sich um eine sichere Verbindung handelt. Denn beim öffentlichen WLAN steht das WLAN-Passwort auch anderen Userinnen und Usern zu Verfügung. Durch eine Kennwort-Abfrage könnten Cyberkriminelle auch einen gefälschten Hotspot authentisch wirken lassen. Somit lässt sich nicht klären, ob das öffentliche WLAN tatsächlich von einem vertrauenswürdigen Betreiber angeboten wird oder ob Betrügerinnen und Betrüger versuchen, Daten zu verfälschen beziehungsweise zu stehlen.

Smartphones, Laptops und Tablets verbinden sich in der Regel automatisch mit Netzwerken, mit denen sie schon einmal verbunden waren. Das ist jedoch ein beliebtes Einfallstor für Cyberkriminelle, die eine Kopie eines bekannten öffentlichen Netzwerks herstellen, in die sich das Mobilgerät dann automatisch einloggt. Um dem vorzubeugen, sollten Sie die Einträge der öffentlichen Netzwerke, mit denen Ihr Gerät bereits verbunden war, regelmäßig löschen. Hilfreich ist auch, das WLAN-Modul Ihres Mobilgeräts einfach abzuschalten, sobald es nicht mehr benötigt wird.

Zertifizierte Websites und gefälschte Zertifikate

Userinnen und Usern hilft eine weitere Funktion des Https-Protokolls, das für die Verschlüsselung der Daten von Websites genutzt wird: Das Sicherheitsprotokoll dient auch dazu, die Identität der Website und die Unversehrtheit der übertragenen Daten sicherzustellen. Dazu müssen Website-Betreiber gegenüber dem Browser die Inhaberschaft einer Website bestätigen, um mit dem Sicherheitsprotokoll zertifiziert und ausgewiesen zu werden.  

Wer die Daten einer Website manipulieren will, braucht ein solches Zertifikat, um damit die Daten wieder korrekt verschlüsseln zu können. Der Webbrowser warnt die Userin beziehungsweise den User nämlich, wenn das Zertifikat nicht zur URL der aufgerufenen Website passt. Für gewöhnlich wird das Original-Zertifikat von der Besitzerin oder dem Besitzer der Website sicher aufbewahrt, daher verwenden Kriminelle andere Zertifikate in der Hoffnung, dass ihr Opfer die Warnung ignoriert. Genau das sollte man aber nicht tun: Die Beachtung von Warnungen vor falschen Zertifikaten ist ein praktikabler Weg, mögliche Man-in-the-Middle-Angriffe zu verhindern.

E-Mail-Verkehr verschlüsseln

Auch die Datenübertragung zum E-Mail-Server muss verschlüsselt sein. In den Konfigurationseinstellungen des E-Mail-Programms beziehungsweise der App werden dafür Optionen wie „SSL/TLS“ oder „STARTTLS“ angeboten. Eine dieser Optionen sollte jedenfalls aktiviert werden, um die Verschlüsselung zu erwirken.

VPN nutzen

Neben der Verschlüsselung der einzelnen Services mit SSL/TLS kann mittels VPN (Virtual Private Network) der gesamte Datenverkehr verschlüsselt und damit eine zusätzliche Sicherheitsebene geschaffen werden. Mit einem VPN wird zwischen dem Endgerät und einem Endpunkt des jeweiligen VPN-Anbieters ein gesicherter Übertragungskanal aufgebaut, über den der gesamte Datenverkehr läuft, unabhängig davon, ob die gerade benutzte App für eine Datenverschlüsselung sorgt.

Regeln und Tipps für einen sicheren Datenverkehr im WLAN

• Unverschlüsselte WLAN-Netze sind unsicher und sollten deshalb nur mit zusätzlichen Absicherungsmaßnahmen (z.B. VPN) verwendet werden.
• Verschlüsselte WLAN-Netze schützen vor dem Mitlesen, nicht aber vor Man-in-the-Middle-Attacken. Die Verschlüsselung endet beim Accesspoint. Ist dieser gefälscht, können Cyberkriminelle den Datenverkehr trotzdem mitlesen.
• Deaktivieren Sie die automatische Verbindung mit bereits besuchten WLAN-Netzwerken beziehungsweise löschen Sie regelmäßig die Einträge der öffentlichen Netzwerke, mit denen Ihr Gerät bereits verbunden war.
• Beachten Sie stets Zertifikatswarnungen, um eine mögliche Manipulation des Datenverkehrs zu erkennen.
• Richten Sie in Ihrem E-Mail-Programm eine automatische Verschlüsselung mittels SSL/TLS oder STARTTLS ein.